Délibération n° 2014-430 du 23 octobre 2014 portant avis sur un projet de décret en Conseil d'Etat autorisant les traitements de données à caractère personnel mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services médicaux (demande d'avis n° 14021842)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0082 du 8 avril 2015 |
| Enactment Date | 23 octobre 2014 |
| Date de publication | 08 avril 2015 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Record Number | JORFTEXT000030457028 |
La Commission nationale de l'informatique et des libertés, saisie par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat autorisant les traitements de données à caractère personnel mis en oeuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions de leurs services médicaux ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code rural et de la pêche maritime ;
Vu le code de la sécurité sociale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1-1° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, le 28 juillet 2014 et par saisine rectificative le 8 octobre 2014, par la ministre des affaires sociales, de la santé et des droits des femmes d'une demande d'avis concernant un projet de décret en Conseil d'Etat (ci-après « le projet ») autorisant les traitements de données à caractère personnel mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement des missions afférentes à leurs services médicaux en matière de prise en charge des prestations maladie, maternité, invalidité, inaptitude, accident du travail et maladie professionnelle.
Ce projet vise à créer une catégorie de traitements de données à caractère personnel relevant des missions des services médicaux de l'assurance maladie obligatoire (AMC) portant notamment sur le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) des assurés sociaux.
Ces traitements seront mis en œuvre par la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS), la Mutualité sociale agricole (MSA) et le Régime social des indépendants (RSI).
Le projet de texte soumis à la commission est pris en application de l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée qui prévoit que « sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés », les traitements de données à caractère personnel mis en œuvre pour le compte d'une personne morale de droit public « qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ».
Les articles R. 115-1 et suivants du code de la sécurité sociale (CSS) prévoient que « Les organismes et administrations chargés de la gestion d'un régime obligatoire de base de sécurité sociale et, le cas échéant, les organismes habilités par la loi ou par une convention à participer à la gestion de ces régimes » sont autorisés à utiliser le NIR. Ces dispositions précisent que « l'autorisation donnée à l'article R. 115-1 vaut exclusivement pour les traitements mis en œuvre dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 » pour des finalités au nombre desquelles ne figurent ni la gestion individualisée de la relation avec les bénéficiaires de prestations et les producteurs de soins et prestataires de services ni l'offre de téléservices.
Dès lors que ces traitements sont substantiellement différents de ceux qu'autorisent les dispositions réglementaires en vigueur, ils doivent être autorisés par un décret en Conseil d'Etat pris après avis de la CNIL, en application de l'article 27-1 (1°) précité.
Sur la dénomination et les finalités des traitements :
Le projet est relatif à la mise en œuvre de traitements de données à caractère personnel destinés à l'exercice des missions des services médicaux des organismes gestionnaires des régimes obligatoires de base de l'assurance maladie.
L'article 1er du projet explicite le périmètre et les finalités des traitements mis en œuvre dans le cadre des activités précitées de l'assurance maladie.
Ces traitements ont vocation à permettre de
« 1° déterminer l'étendue des droits aux...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI